Единая политика доступа

© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены.

Единая политика доступа

Виктор Платов системный инженер-консультант по направлению Mobility

© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 2

Политика управления доступом: проблемы и

архитектура

UA с использованием Cisco ISE – вводная

демонстрация (BYOD)

Доступ для групп безопасности и

TrustSec

Устройства доступа Cisco и идентификация

Принцип работы ISE – демонстрация

администрирования ISE


BYOD («принеси свое собственное устройство») Повышение производительности, низкая стоимость, дополнительная

защита

Единообразная общесетевая политика управления Управление разграничением доступа

Управление безопасным доступом – подключение устройств

Прозрачность устройств (профилирование), оценка состояния, управление

с учетом контекста, аутентификация, авторизация, учет (AAA)

Проблема: Определение типов устройств, подключенных к сети

Цифровая метка устройства (идентифицирующая "предмет"), анализ состояния,

Проблема: Обеспечение согласованных топологически

независимых политик при обмене данными E2E

Cisco TrustSec и управление политиками

ТЕХНОЛОГИЯ КОММУНАЛЬНЫЕ

УСЛУГИ ЭНЕРГЕТИКА ЗДРАВООХРАНЕНИЕ

ВЫСШЕЕ

ОБРАЗОВАНИЕ СРЕДНЕЕ

ОБРАЗОВАНИЕ

Проблема: Поддержка BYOD без увеличения затрат на сопровождение ИТ

Автоматическая регистрация устройств, загрузка приложений, оценка состояния

устройств на портале без участия пользователя


Управление

политиками Identity Services Engine (ISE) Инфраструктура Prime Infrastructure

Контекст

политик Собственность

компании

Личные

устройства Устройства, не принадлежащие

пользователям

Идентификационные

данные пользователя

Информация

о политиках ,

Оценка состояния ПО

NAC/AnyConnect Agent

Профилирование из

инфраструктуры Cisco

Каталог

пользователей

Соблюдение

политик Инфраструктура Cisco: коммутаторы, контроллеры беспроводной сети,

межсетевые экраны, маршрутизаторы


Решение для

управления

политиками


унифицированным

доступом к сети

Решение BYOD

«под ключ»

Первое общесистемное решение

Глубокая сетевая интеграция

Общесистемное управление

политиками

с одного экрана

Удостоенный различных наград

продукт

Премия Cisco Pioneer Award 2012

Более 400 обученных и

проверенных партнеров ATP

Более 1000 продаж за 1 год

Gartner 2013 NAC MQ

Спо

со

бно

сть

к

ре

ал

иза

ци

и

Претенденты Лидеры

Нишевые игроки Провидцы

Полнота видения

По состоянию на июнь 2012


Сервисы аутентификации

Сервисы авторизации

Управление жизненным циклом

гостя

Сервисы профилирования и

BYOD

Сервисы оценки состояния

TrustSec SGA

Мне нужно разрешать подключение к сети

только определенных пользователей и

устройств

Мне нужно, чтобы пользователи и устройства

пользовались соответствующими сетевыми

сервисами

Мне нужно разрешить гостям доступ в сеть

и управлять режимом их работы

Мне нужно разрешать и блокировать

использование

iPad в моей сети (BYOD)

Мне нужно, чтобы в моей сети

были неинфицированные устройства

Мне необходим масштабируемый способ

реализации политики доступа в сети

Единая

сеть

Единая

политика

Единое

управление


ISE Управление доступом к

устройствам

MDM Управление безопасностью

мобильных устройств

• Профилирование устройств

• Реализация BYOD

• Управление доступом к


• Совместимость устройств

• Управление мобильными

приложениями

• Обеспечение

безопасности хранящихся

данных

Новый способ

В целях обеспечения безопасности MDM не "видит" незарегистрированные устройства, но

при этом сеть распознает их!

Практические решения на сегодняшний день

MDM: Диспетчер мобильных устройств

ISE и MDM Обеспечение совместимости мобильных

устройств

• Принудительная адаптация к MDM

персональных устройств,

используемых для работы

• Регистрируемый, но ограниченный

доступ персональных устройств, не

находящихся под управлением MDM

• Изоляция несовместимых устройств

на основе политики MDM

В ближайшем будущем Будущие практические

решения (~ 2 квартал 2013)


• Регистрация устройств MDM посредством ISE

o Незарегистрированные клиенты перенаправляются на страницу регистрации MDM

• Ограниченный доступ

o Клиентам, не соответствующим требованиям, предоставляется ограниченный доступ с учетом состояния оценки MDM

• Агент MDM

o Соответствие требованиям

o Оценка установленных приложений

устройств c

• Работа устройства из ISE

• Очистка данных на клиенте в случае кражи устройства

Интерфейс

управления

ISE

Интерфейс

управления MDM

Проверка

регистрации

устройства

Информация

о состоянии

устройства Устройство,

пытающееся

получить доступ

к сети

Платформа

MDM

Установка приложений на

устройство (AnyConnect и

Jabber)


• Пользователь подключается по защищенному идентификатору SSID

• PEAP: Имя пользователя/ Пароль

• Перенаправляется на портал регистрации

• Пользователь регистрирует устройство

Загружает сертификат

Загружает настройки запрашиваемого устройства

• Пользователь повторно подключается при помощи EAP-TLS

Защищенный BYOD

Персональные

ресурсы

Создат

ь

Точка доступа

ISE

Контроллер беспроводной локальной сети

AD/LDAP


• Пользователь подключается к открытому идентификатору SSID

• Перенаправляется на портал WebAuth

• Пользователь вводит учетные данные сотрудника или гостя

• Гость подписывает правила пользования сетью (AUP) и получает гостевой доступ

• Сотрудник регистрирует устройство

Загружает сертификат

Загружает настройки запрашиваемого устройства

• Сотрудник повторно подключается при помощи EAP-TLS

Создат

ь

Защищенный BYOD

Открытый BYOD

Персональные

ресурсы

Точка доступа

ISE

Контроллер беспроводной локальной сети

AD/LDAP


Access-Accept

Известное

устройство Нет

MyDevices

Регистрация устройства в ISE

Да

нет

ISE Portal

Регистрация устройства в MDM Да

Зарегистрировано

в MDM

http://findicons.com/files/icons/808/on_stage/128/symbol_check.png


Архитектура UA для единой политики с использованием BYOD

Контроллер беспроводной

локальной сети (WLAN) Cisco

Устройства в проводной сети

Коммутаторы Cisco

Catalyst®

Проводная сеть Беспроводная сеть

Cisco® ISE

Удаленный доступ

Межсетевой экран Cisco ASA

Cisco Prime™ NCS

NCS Prime для

создания отчетов

Стороннее

приложение MDM

Диспетчер MDM

Интеграция MDM

для проверки

соответствия и

прозрачности

приложений

RADIUS


Пример формирования отчета ISE с MDM

Причина неисправности

Телефон не отвечает; Администратор устройств деактивирован; Пароль не установлен


Тип оконечного


Число

сессий

Число

клиентов

Длительность

сессии

(часы)

Трафик

(Мбайт)

%

сессий

%

клиентов

% от

длительности

сессии

% от

трафика

Неизвестное

устройство

Устройство HP

Устройство Cisco

Клиенты по типам оконечных устройств

Устройство HP = 2

Устройство Cisco = 2

Неизвестное устройство = 27


Любое устройство

Зарегистрированное устройство Корпора-тивное


Роль пользователя

и устройства Общий веб-

сервер

Новостной

портал

сотрудника

Портал

администратора

Приложение

"Карта

рабочего

времени

сотрудника"

Сервер

кредитных

карт

Незарегистрированное


Сотрудник

Руководство

Сканеры кредитных

карт


Любое устройство

Зарегистрированное устройство Корпора-тивное


Роль

пользователя

и устройства

Определение политики Общий веб-

сервер

Новостной

портал


Портал

менеджера

Приложение

"Карта рабочего

времени

сотрудника"

Сервер

кредитных

карт

Незарегистрир

ованное


Открытый SSID

Сотрудник

Корпоративный SSID

Сертификат члена группы

"Сотрудники" соответствует

оконечному устройству



Член группы "Сотрудники и

менеджеры"

Сертификат соответствует

оконечному устройству

Сканеры

кредитных карт

Credit_Card SSID

Член группы "Credit_Scanners"

Профилируется как "iphone"


Зарегистрированный

сотрудником

SSID:

Корпоративный

беспроводной доступ

Группа AD:

"Руководство"


Требуется

сертификат

Профилируется

как iPhone

Группа AD:

"Сканеры кредитных карт"

SSID:

cc-secure-wifi


Архитектура ACL

Трудность технического

сопровождения

сотен и тысяч правил

Архитектура VLAN

Проблемы

масштабирования

Высокая зависимость от

топологии

802.1X


Роль пользователя и


Маркер доступа

Незарегистрированное


(Unregist_Dev_SGT)

Сотрудник

(Employee_SGT)


(Management_SGT)

Сканеры кредитных карт

(CC_Scanner_SGT)

Политика SGA TAG

Credit_Card SSID

Член группы "Credit_Scanners"

Профилируется как "iphone"

Открытый SSID


Член группы "Сотрудники"

Сертификат соответствует оконечному

устройству


Член группы "Сотрудники и менеджеры"

Сертификат соответствует оконечному

устройству

Cisco ISE

Сотрудник

Менеджер

Финансы

кто что где когда как


Метка


Метка менеджера

Метка сканера



Метка менеджера Метка сканера



Управление доступом на основе групп безопасности

• ISE сопоставляет маркеры (SGT) с идентификационными данными пользователя

• Политика авторизации ISE передает SGT для доступа к NAD (коммутатор/WLC)

• Политика авторизации ISE передает ACL (SGACL) для выхода из NAD (ASA или

Nexus)

Менеджер

Зарегистрированное


SGT = 100

Менеджер

SGT = 100

SGACL

SRC\DST Карта учета

времени Кредитная карта

Менеджер (100) Доступ Нет доступа

Cisco ISE

Карта учета времени

(SGT=4)

Сканер


(SGT=10)


Инновации

Cisco

Протокол доступа для групп безопасности

• Для передачи через ядро, не поддерживающее SGT

Менеджер

Зарегистрированное


Менеджер

SGT = 100

SGACL

SRC\DST Карта учета времени Кредитная карта

Менеджер (100) Доступ Нет доступа

Cisco ISE

Карта учета времени

(SGT=4)

Сканер


(SGT=10) 10.1.100.3

SXP

IP-адрес SGT

10.1.100.3 100


Catalyst 3K Catalyst 4K

Catalyst 6K

Nexus 7K

Cat 3K (SXP)

Cat 4K (SXP)

Cat 6K Sup720 (SXP)

N7K (SXP/SGT)

N7K

(SGACL)

WLC 7.2 Nexus 1Kv

Catalyst 2K-S Nexus 55xx

ASR1K (SXP/SGT)

ISR G2 (SXP)

WLC 7.2 (SXP)

Cat 2K-S (SXP)

N1Kv (SXP) ASA (SXP)

N55xx (SGT) Cat 3K-X (SXP/SGT)

Cat6K

(SGACL)

Cat3K-X

(SGACL) ASA (SGFW)

- CY12 2H

ASR1K/ISRG2

(SGFW)

/N55xx

Cat 6K Sup2T (SXP/SGT)

Инновации

Cisco

Назначение SGT

пользователям и


Передача SGT по

сети

(Inline/SXP)

Применение

политики на основе

SGT

(SGACL/SGFW)


a

Инновации

Cisco

Функции аутентификации

Коммутатор Cisco Catalyst

Сетевое


IP-телефоны Авторизованные

пользователи

Гости Планшеты

802.1X MAB Веб-

аутентификация

Отличительные особенности

идентификации

Режим монитора

• Беспрепятственный доступ

• Без влияния на производительность

• Прозрачность

Гибкая последовательность аутентификации

• Предоставление единой конфигурации для большинства примеров использования

• Гибкие политики и механизмы отката

Полнофункциональный и

надежный стандарт 802.1X

Поддержка IP-телефонии для сред виртуальных настольных систем

• Режим одиночного узла

• Режим нескольких узлов

• Режим многократной аутентификации

• Мультидоменная аутентификация

Аутентификация важных данных и голосовых данных

• Непрерывность бизнеса в случае сбоя


Инновации

Cisco

CDP

LLDP

DHCP

MAC

Поддерживаемые платформы:

IOS 15.0(1)SE1 для Cat 3K

IOS 15.1(1)SG для Cat 4K

WLC 7.2 MR1 - DHCP только данные

ISE 1.1.1

Политика для

принтера

[поместить в VLAN X]

Политика для

личного iPad

[ограниченный доступ]

CDP

LLDP

DHCP

MAC

Принтер Личный iPad ISE

CDP

LLDP

DHCP

MAC

ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей

Точка

доступа

Сценарий развертывания с использованием сенсоров устройств Cisco

СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE

КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства

АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства

Эффективная

классификация устройств с

использованием

инфраструктуры

Решение

ПОЛИТИКА


Тип проверки Предоставляемая информация

RADIUS (Calling-Station-ID) MAC-адрес (OUI)

Пример: 0A:1B:2C = vendor X

DHCP (host-name)

(dhcp-class-identifier)

Имя узла (по умолчанию может включать тип устройства)

Пример: jsmith-iPad

Класс или тип устройства

Примеры: BlackBerry, беспроводной IP-телефон Cisco

DNS

(обратный просмотр IP)

Доменное имя (по умолчанию имя узла может включать тип устройства)

Пример: jsmith-ipad.company.com

HTTP

(User-Agent)

Сведения об определенном типе мобильного устройства

Примеры: iPad, iPhone, iPod, Android, Win7

Сканирование NMAP

(SNMPPortsAndOS-scan )

Срабатывание оконечного устройства сканирование ОС

Пример: OS= Apple iOS

Сообщение или запрос SNMP-trap

(MAC Notification/CDP/LLDP collection)

MAC-адрес или данные об интерфейсе, данные сессии и системный запрос

Примеры: 0A:1B:2C/ARP table

Netflow (перехват потоков)

Перехват потоков для определения подходящего оконечного устройства

пятикратный трафик

Примеры: SRC/DST IP/Port/Protocol

Система учета RADIUS предоставляют информацию о связи MAC:IP для поддержки других проверок, основывающихся на IP-адресе (DNS,

NetFlow, NMAP и HTTP)


Пользователь Специальный Местоположение Тип устройства Время Оценка

состояния Метод доступа


BYOD


доступом

Целостное

решение

• Самостоятельное подключение пользователей

• Партнерство с поставщиками MDM

• Контекст: кто/ что/ как/ где

• Прозрачность: профилирование

• SGA: Независимость от топологии, язык бизнеса

• Реализация: Функции маршрутизатора, коммутатора и контроллера

• Оконечное устройство: Оценка состояния, VPN

• Хранение информации: AD, LDAP, DHCP, MDM


• Информация о ISE: http://www.cisco.com/go/ise

• Cisco TrustSec (SGA и сертифицированные решения): www.cisco.com/go/trustsec

• Указания по применению и руководства с практическими советами: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html

• Зона проектирования – базовый вариант проекта BYOD: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns743/ns1050/own_device.html#~overview

Единая политика доступа

Technology